Claude versi desktop dipertanyakan sebagai "perangkat lunak mata-mata"! Mengubah pengaturan akses tanpa izin, diduga melanggar hukum Uni Eropa

Peneliti menuduh versi desktop Claude memasang profil pengaturan di berbagai browser tanpa izin, memicu kontroversi tentang “perangkat lunak mata-mata” dan kekhawatiran pelanggaran undang-undang privasi UE. Pendapat publik beragam, para ahli menyerukan agar pihak berwenang meningkatkan transparansi demi melindungi keamanan siber.

Peneliti keamanan menuduh Claude Code versi desktop sebagai “perangkat lunak mata-mata”

Apakah Anda pernah menginstal versi desktop Claude? Peneliti keamanan Alexander Hanff baru-baru ini mengunggah sebuah posting yang menyatakan bahwa aplikasi desktop Claude secara diam-diam memasang file pengaturan untuk pemrosesan pesan browser asli di komputer tanpa persetujuan pengguna.

Hanff menemukan saat memeriksa komputer Mac bahwa program tersebut menulis file pengaturan tertentu di dalam folder dari 7 browser berbasis Chromium, termasuk Brave, Google Chrome, Edge, Arc, Vivaldi, dan Opera, bahkan mencakup browser yang belum diinstal pengguna saat itu.

Dia menunjukkan bahwa operasi ini disetel secara default sebagai tersembunyi, tanpa mekanisme persetujuan pengguna, dan sulit dihapus. Program ini tidak hanya memberikan izin awal untuk tiga kode ekstensi browser yang belum diinstal, tetapi juga nama file tidak secara jelas menunjukkan cakupan izin, dan bahkan memberikan izin kepada browser yang belum ada untuk menggunakan file eksekusi pesan asli.

Jika ekstensi diaktifkan, file pendukung dapat membaca status login browser pengguna, isi halaman web, mengisi formulir otomatis, dan mengambil tangkapan layar.

Sumber gambar: Artikel Alexander Hanff Peneliti keamanan menuduh Claude Code versi desktop sebagai “perangkat lunak mata-mata”

Hanff menunjukkan bahwa data keamanan internal Anthropic menunjukkan bahwa ekstensi Chrome Claude, tanpa perlindungan, memiliki tingkat keberhasilan serangan injeksi prompt sebesar 23,6%, dan 11,2% dengan perlindungan yang ada.

Dalam kondisi komputer pengguna sudah dipasang penghubung sebelumnya, serangan injeksi prompt yang berhasil terhadap ekstensi ini akan membuka jalur serangan, memungkinkan melalui ekstensi dan penghubung untuk menjalankan file pendukung yang beroperasi di luar sandbox browser dengan hak akses pengguna.

Dia menuduh bahwa perilaku versi desktop Claude sama dengan “mode gelap” (desain penipuan) dan “perangkat lunak mata-mata”, yang secara serius melanggar privasi pengguna karena melampaui batas kepercayaan.

Kemungkinan melanggar hukum UE?

Hanff dan Noah M. Kenney, pendiri perusahaan konsultasi digital Digital 520, juga menunjukkan bahwa versi desktop Claude mungkin melanggar Pasal 5 ayat 3 dari Arahan Privasi Elektronik UE, yang mengharuskan penyedia layanan memberikan informasi yang jelas dan mendapatkan persetujuan pengguna.

Hanff berpendapat bahwa, terlepas dari dampak hukum, perusahaan yang dikenal berkomitmen terhadap keamanan dan privasi ini secara tidak sengaja merilis alat yang tampaknya merusak posisi mereka sendiri, yang akan membawa kerusakan reputasi besar dan kehilangan kepercayaan pengguna.

Namun, Kenney menyatakan bahwa dia ragu terhadap penggunaan istilah “perangkat lunak mata-mata” yang digunakan Hanff, menambahkan bahwa program tersebut tidak secara aktif mencuri data, tetapi dia setuju bahwa otoritas regulasi Eropa sangat ketat dalam menafsirkan pengecualian yang diperlukan, dan tanpa persetujuan eksplisit, mengintegrasikan fungsi instalasi lintas aplikasi akan menghadapi risiko sanksi hukum yang tinggi.

Apakah Claude Code versi desktop perangkat lunak mata-mata? Pendapat publik beragam

Forum insinyur Hacker News memiliki pandangan yang beragam tentang artikel ini, beberapa insinyur mengonfirmasi adanya tindakan instalasi tanpa izin setelah pengujian, dan merasa tidak puas dengan modifikasi yang dilakukan Claude versi desktop terhadap pengaturan perangkat lunak lain, menganggapnya merusak kepercayaan dasar antar perangkat lunak.

Sebagian pengguna lain berpendapat bahwa, ini hanyalah mekanisme pengolahan pesan asli yang standar, dan selama tidak ada bukti konkret bahwa program ini secara aktif membocorkan data, menyebutnya sebagai perangkat lunak mata-mata tampaknya berlebihan.

Mantan kepala teknologi Apple, Bogdan Grigorescu, juga mengimbau di LinkedIn agar pengguna menjalankan alat AI generatif ini di mesin virtual atau perangkat terpisah khusus, dan sebisa mungkin menghindari menginstalnya di komputer utama yang digunakan untuk keuangan pribadi dan data rahasia.

Ahli keamanan siber Jason Packer menyatakan bahwa pemberian izin kode ekstensi yang belum resmi di toko aplikasi adalah praktik yang sangat buruk dalam keamanan jaringan.

Anthropic belum menanggapi, masalah etika Claude diuji

Malwarebytes, yang fokus pada alat antivirus dan anti-malware untuk Mac, berpendapat bahwa pengolahan pesan asli memang merupakan mekanisme resmi dan sah dari browser Chromium, namun Claude versi desktop secara tidak jelas menulis file pengaturan ke beberapa jalur browser tanpa memberi tahu pengguna, yang jelas meningkatkan permukaan serangan komputer.

Malwarebytes menilai bahwa karena program Claude membutuhkan ekstensi tertentu untuk berfungsi penuh, menyebutnya sebagai perangkat lunak mata-mata tidak adil. Namun, Anthropic pasti bisa melakukan implementasi yang lebih transparan, memberi tahu pengguna secara jelas tentang perubahan sistem, dan membiarkan mereka menilai risiko sebelum menyetujui instalasi.

Hingga saat berita ini dipublikasikan, Anthropic belum mengeluarkan pernyataan resmi. Media 《The Register》 dan Malwarebytes telah mengajukan permintaan komentar kepada Anthropic, tetapi belum mendapatkan respons.